Audits in der Informationssicherheit

Audits sind regelmäßige, unabhängige Überprüfungen, die durch Auditoren mit Fachexpertise durchgeführt werden. Unter einem Audit in der Informationssicherheit wird eine gezielte Untersuchung eines Sachverhaltes gegen einen etablierten Standard verstanden. Im Zusammenhang mit Informationssicherheit können dies sowohl interne Anweisungen oder Vorgaben als auch die Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder internationale Normen, wie die beispielsweise die ISO27001 und Gesetzesvorgaben, sein. Ein Audit kann anhand der Papierlage, durch Sichtung der Objekte vor Ort, durch Auswertung von Nachweisen, in Stichproben oder vollständig vorgenommen werden.

Diese Überprüfungen dienen dazu, auf Basis von Prüfkriterien und Anforderungskatalogen das Sicherheitsniveau in Unternehmen zu ermitteln und dieses durch daraus resultierende Maßnahmen zu erhöhen.

Das Wichtigste auf den Punkt:

Audits haben einen großen Nutzen im Vergleich zu den Kosten

Sie machen es möglich, dass Unternehmen auf einfache Weise Verbesserungspotentiale identifizieren und sich somit verbessern und optimieren können.
Das Sicherheitsniveau kann maßgeblich und nachhaltig erhöht werden.
Die Außenwirkung und somit das Vertrauen zu Stakeholdern kann gestärkt werden.

Die Vorteile von Audits

Audits sind ein wesentlicher Bestandteil der Risikomanagement-Strategie innerhalb eines Managementsystems im Unternehmen. Durch Audits wird sichergestellt, dass Unternehmen Risiken erkennen und diese durch geeignete Maßnahmen aus Verbesserungspotentialen minimieren können.

Audits bieten eine strukturierte Methode, um die Wirksamkeit von internen Vorgaben, Prozessen und Kontrollen zu überprüfen. Sie helfen auch dabei, potenzielle Schwachstellen aufzudecken und Maßnahmen zu ergreifen, um diese zu behandeln und zukünftige Risiken zu minimieren.

Die Durchführung von Audits kann auch dazu beitragen, das Vertrauen der Öffentlichkeit in ein Unternehmen zu stärken. Durch die Überprüfung der internen Vorgaben, Prozessen und Kontrollen können Interessengruppen sicher sein, dass bestimmte Vorgaben im Unternehmen eingehalten werden.

Audits stellen daher einen wesentlichen Bestandteil des unternehmerischen Erfolgs dar.

Die verschiedenen Typen von Audits

Es wird im Allgemeinen in folgende Audittypen unterschieden:

Internes Audit:

Regelmäßiges und planmäßiges Audit, durchgeführt von einem/einer ausgebildeten internen Auditor/in, mit dem Zweck der Überprüfung des ISMS. Er/sie geht dabei die Aspekte durch, die für die zu auditierende Norm wichtig sind. In einem Voraudit stellt der/die Auditor/in fest, ob die Dienststelle oder Einrichtung zertifizierungsreif ist.

Zertifizierungsaudit:

Zertifizierungsaudits werden mit Hinblick auf die Zertifizierung nach einer bestimmten Norm durchgeführt. Das entsprechende Regelwerk wird anhand einer Checkliste überprüft.

Überwachungsaudit:

Ein Überwachungsaudit ist ebenfalls eine externe Prüfung, bei dem die weitere Entwicklung des jeweiligen Managementsystems jährlich betrachtet wird.

Wiederholungs- oder Rezertifizierungsaudit:

Grundsätzlich alle drei Jahre finden diese Audits statt. Der/die externe Auditor/in überprüft, ob weiterhin die Voraussetzungen für die Zertifizierung erfüllt sind, und erneuert gegebenenfalls das Zertifikat.

Wie man ein Audit durchführt

Der erste Schritt bei der Durchführung eines Audits ist die Festlegung der Ziele sowie des Prüfgegenstands (was soll eigentlich auditiert werden). Die Audits können sich dabei auf verschiedene Bereiche des Unternehmens oder auf bestimmte Prozesse beziehen. Beispielsweise kann der Prüfbereich eines Audits die Umsetzung von Sicherheitsmaßnahmen für IT-Systeme oder die Umsetzung organisatorischer Vorgaben wie der On- und Off-Boarding-Prozesses sein.

Nachdem die Ziele sowie der Prüfgegenstand des Audits festgelegt sind, wird ein Auditplan erstellt, wann, in welcher Form und mit welchen Prüfschwerpunkten das Audit durchgeführt werden soll. In diesem Plan wird also festgelegt, welche Bereiche des Unternehmens oder welche Prozesse geprüft werden. Außerdem wird dort auch festgelegt, welche Methoden verwendet werden, um die gewünschten Informationen zu erhalten. Beispielsweise können Interviews mit Mitarbeitenden oder eine reine Dokumentenprüfung als Methode herangezogen werden. Sobald der Plan erstellt wurde, wird mit der Durchführung des Audits begonnen.

Während des Audits werden Informationen über den Prüfgegenstand gesammelt und diese mit den Anforderungen an diesen abgeglichen. Wenn alle relevanten Informationen vollständig ermittelt wurden, werden diese sorgfältig dokumentiert, analysiert und in einem Auditbericht als Ergebnisdokument zusammengefasst. Empfehlungen zu Verbesserungspotentialen, aber auch Abweichungen zum Anforderungskatalog sind Hauptbestandteil des Auditberichts und geben Aufschluss darauf, inwieweit Anforderungen an den Prüfgegenstand umgesetzt sind. Wurden Unstimmigkeiten oder Mängel festgestellt, müssen diese mit geeigneten Maßnahmen behandelt werden.

Kosten-Nutzen eines Audits

Wie viel kostet ein Audit und was für einen Nutzen gibt es dazu im Verhältnis?

Die Kosten eines Audits hängen von verschiedenen Faktoren ab, darunter der Größe und Komplexität der Organisation, der Art des Audits (intern oder extern) und den Kompetenzen und Erfahrungen des Audit-Teams.

Fazit

Audits haben einen großen Nutzen im Vergleich zu den Kosten. Sie sind ein Werkzeug zur Identifizierung von Abweichungen zu Anforderungskatalogen und daraus potenziell resultierenden Risiken. Durch geeignete, pragmatische Maßnahmen können die identifizierten Abweichungen behandelt und somit Unternehmensprozesse auf geeignete Weise optimiert werden.

Jetzt ist der perfekte Zeitpunkt, um ein Angebot für ein Audit einzuholen. Die folgenden Punkte geben einen Überblick über die Themen, die wir auditieren können:

Nutzen Sie unsere kostenlose Offerte und profitieren Sie von unserem langjährigen Erfahrungsschatz.

Kontakt: Maik Opitz

Tel.: +49 160 4726 – 129

info@datasystems.de

JETZT Beratungstermin vereinbaren!